다크웹이라는 또 다른 세상을 보는 새로운 시선
곽경주 S2W 이사와 함께 살펴보는 다크웹의 모든 것
2021년 월패드 해킹과 랜섬웨어 조직 등으로 다크웹 시장 활성화
e커머스와 의료 분야 대상 공격 늘어, 코로나19 이슈 선점한 해커들
■ 방송 : 보안뉴스TV(bnTV) <곽경주의 다크웹 인사이드>
■ 진행 : 권 준 보안뉴스 편집국장
■ 출연 : 곽경주 S2W 이사
다크웹(Dark Web)이라는 또 다른 세상을 아시나요? 우리가 자유롭게 검색하고 찾아갈 수 있는 인터넷보다 더 큰 세상이 존재하는 곳인데요, 이곳 다크웹에서는 해킹을 일삼는 사이버범죄자들도 활발하게 움직이고 있습니다. 저희 [bnTV] ‘곽경주의 다크웹 인사이드’에서는 다크웹에서 활동하는 사이버범죄자들의 활동을 모니터링하고 분석하는 보안전문가 S2W의 곽경주이사와 함께 한 달 동안 발생한 다크웹 주요 이슈를 다뤄보고 보안위협에 대비할 수 있는 방안을 살펴보겠습니다.
□ 권준 국장 안녕하세요, 보안뉴스의 권 준 편집국장입니다. 이번에는 저희 보안뉴스에서 야심차게 준비한 새로운 영상 콘텐츠를 소개시켜 드리려고 하는데요, 이름하여 ‘곽경주의 다크웹 인사이드’입니다. 이 코너는 한달 동안, 사이버 범죄자들이 주로 활동하는 다크웹에서의 주요 이슈와 범죄자들의 활동 현황, 그리고 각 국가 및 기업 피해 실태 등을 분석해보는 코너입니다. 저희 코너를 함께해주실 곽경주 이사님을 소개시켜 드리고 싶은데요, 곽경주 이사님은 다크웹에 있는 사이버 범죄자들을 집중적으로 추적하고 모니터링하는 전문가입니다. 반갑습니다.
■ 곽경주 이사 아, 네 안녕하세요.
□ 권준 국장 간단하게 본인 소개 좀 부탁드리겠습니다.
■ 곽경주 이사 안녕하세요, 저는 곽경주입니다. 저는 금융결제원, 그리고 금융보안원 등에서 침해사고 대응 관련된 업무를 해왔었고요. 현재는 S2W에서 CTI·위협 분석 관련된 업무들을 전체적으로 총괄하고 있는 그런 역할을 하고 있습니다. 그 외에도 국내외에서는 발표를 할 때 주로 국가급 대응 공격 그룹들에 대한 분석 내용이라든가 금융권 관련된 사이버 범죄자들에 대한 내용들로 발표를 해왔습니다.
□ 권준 국장 반갑습니다.
■ 곽경주 이사 네.
□ 권준 국장 앞으로 잘 부탁드리고요. 일단 저희 이제 코너명이 다크웹 인사이드거든요. 그래서 어둠의 인터넷이라고 불리는 다크웹에 대해서 조금 더 알아볼 필요가 있을 것 같습니다. 다크웹과 딥웹 그리고 거기서 활동하는 사이버 범죄자들이 어떤 사람들인지 간단하게 먼저 좀 소개를 시켜주신다면요?
■ 곽경주 이사 네, 우선 저희가 사용하고 있는 인터넷 이런 것들은 여러 개의 계층적인 표현을 가지고 있는데요, 우선 ‘표면웹’이라는 것이 있고요. 그건 보통 이제 네이버나 다음 같은 포털사이트를 의미하는 거고 그 아래 쪽에 이제 ‘딥웹’ 같은 로그인해야 들어갈 수 있는 그런 곳들이 있고, 그리고 오늘의 주제인 ‘다크웹’이라는 곳이 있는데, 다크웹은 여러분들이 주로 사용하시는 인터넷 익스플로러나 크롬 등과 같은 브라우저로는 들어가실 수 없는 곳이고. 토르(Tor)라고 하는 특별한 브라우저가 있습니다. 그것을 통해서만 들어갈 수 있는 곳이고요.
애초에 다크웹은 범죄로 이용하라고 만든 네트워크는 아닙니다. 근데 블록체인·암호화폐 같은 것들이 나타나고 그 내부에 이제 블랙마켓들이 나타나면서 그 이후에 범죄자들이 좀 많이 활동하고 있는 그런 공간이라고 보시면 되겠습니다.
□ 권준 국장 다크웹 같은 경우는 요즘에 언론에도 많이 회자가 되는 거 같아요. 모르고 있었지만, 이제는 사이버 범죄자들이 거기서(다크웹) 커뮤니티도 형성을 하고 여러 가지 범죄 공개도 하고 그 다음에 이런 랜섬웨어 공개도 하면서 피해 기업을 대상으로 이제 협박하는 어떤 통로로도 활용을 하고 있는데요. 그러면 지난 한 달간 다크웹 내에서 사이버 범죄 조직이 어떤 활동을 했는지 이슈가 되는 부분하고 그 다음에 그런 범죄자들한테 피해를 입은 국가나 기업에 대해서 한번 통계를 내주신다면요?
■ 곽경주 이사 우선 딥웹을 포함한 다크웹 내에서 활동하고 있는 수많은 범죄자 집단들 중에, 대표적으로 이제 ‘랜섬웨어 그룹’이 있습니다. 그리고 ‘봇넷’이라고 해서 대규모의 악성코드를 유포한다든가 그런 네트워크를 운영하는 운영자들이 있고, 각종 유출 데이터를 판매하고 있는 그런 판매자들이 있습니다. 이런 판매자들은 뭔가 큰 조직을 가지고 있다기보다는 개인적으로 활동하든가, 아니면 소규모의 그룹으로 활동하고 있는 판매자들로 보시면 되는데요.
지난 한 달간 가장 이슈가 컸던 것들은 아파트 내에 설치되어 있는 그런 월패드·CCTV 그런 IoT 장비에 대한 이슈가 컸었고요. 해당 이슈 같은 경우에는 최초에 10월 13일에 홍콩 쪽에 있는 커뮤니티 사이트에 게시글이 업로드 됐었어요. 그리고 나서 10월 15일에 ‘레이드 포럼’이라고 하는 다크웹·딥웹 내에서 가장 유명한 게시판이 있는데요, 여기에 게시가 되게 됩니다. 여기에 CCTV 영상 캡처본 이라든가 이런 것들이 같이 올라오게 되고 그러면서 이제 우리 언론에서 이 부분에 대해서 집중적으로 조명을 하기 시작했고 범국가적인 그런 대응을 하고 있는 상황인데요.
그리고 아까 말씀드렸다시피, 다크웹 내에서는 랜섬웨어의 활동이 가장 두드러지고 다크웹 내의 ‘범죄활동을 주도하고 있다’라고 보시면 되는, 그리고 다크웹 내의 ‘트래픽을 가장 많이 일으키고 있다’라고 보시면 되는 부분이 이제 랜섬웨어 쪽인데 다크웹 그룹 같은 경우에는 현재까지 저희가 누적치로 봤을 때는 한 100여 개가 넘습니다. 랜섬웨어 그룹 자체가 살아있는 그룹 자체는 어제(2021년 12월 22일) 기준으로 한 55곳 정도 되고 나타났다가 사라진 곳은 한 28~30군데 정도 되는 거고, 랜섬웨어 자체를 운영한다기보다는 랜섬웨어 관련된 지원을 한다든가 유출된 데이터를 외부에 판매한다든가 그런 역할을 하는 단순 유출 사이트들이 한 13군데 정도 되고요.
그리고 이제 랜섬웨어 피해 국가별로 통계를 내보면, 가장 많은 피해 기업이 있는 곳이 결국 ‘미국’입니다. 미국이 1200군데가 넘는 피해 기업이 있고요. 그 다음으로는 이제 ‘영국’ ‘프랑스’ ‘캐나다’ 그 다음에 ‘독일’ 같은 곳이 있고 우리나라는 그렇게 피해 기업이 많지는 않습니다. 근데 이것은 어디까지나 기준이 다크웹 내에서 활동하고 있는 랜섬웨어 그룹에 의한 피해 기업인 것이고요. 실제로 다크웹 내에서 활동하지 않는 다른 랜섬웨어도 많은데, 거기에 의해서 피해를 입은 기업이나 개인은 이 수치보다는 많습니다.
한국 기준으로는 한 11군데 정도 되고요. 그리고 2021년도 총 피해 기업은 지금 까지는 이제 국가별로 말씀을 드렸는데, 전체적으로는 2,500군데 정도 된다고 보시면 됩니다.
업종별로는 ‘서비스업’ 쪽이 가장 많았었는데, 230군데, ‘제조업’ 쪽이 200군데 정도, 그리고 ‘금융권’이 168군데 등 다양한 업종을 타깃으로 랜섬웨어 그룹들이 공격하는 것을 보실 수 있습니다. 여기서 제가 서비스업이 가장 공격을 많이 받았다라고 했는데, 여기에 뭐 특별한 이유가 있다거나 그런 것까지는 아직 밝혀진 것은 없고요. 다양한 업종을 대상으로 계속 공격을 하고 있는 것으로 보입니다.
그리고 랜섬웨어 그룹 중에서도 가장 활발한 공격 활동을 보이고 있는 곳은 저희 통계 기준상으로는 ‘콘티’입니다. 콘티라는 랜섬웨어 그룹이 있고, ‘락빗’ 이라는 그룹이 있는데요, 이 두 개의 그룹이 전체의 40~50% 정도를 차지하고 있습니다. 굉장히 활발한 활동을 보이고 있고 콘티 같은 경우에는 여러 수사기관이나 이런 쪽에서도 가장 많이 집중을 하고 있는 그룹임에도 불구하고 범죄 활동을 지속적으로 해나가고 있죠. 이 정도로 정리가 가능할 것 같고요.
▲곽경주의 다크웹 인사이드[이미지=보안뉴스]
□ 권준 국장 너무 생생한 통계 감사드리고요. 사실 저희가 모르는 이런 다크웹이라는 세상에서 범죄자들이 이렇게 범죄를 모의하고 그 다음에 피해자들을 협박하고 이런 활동들이 계속 실시간으로 벌어진다는 것이 정말 놀라운 일인 것 같습니다. 특히, 이제 우리 가정의, 우리 집의 사생활이 녹화가 돼서 그런 것들이 다크웹이나 포럼에 실린다는 것 자체가 얼마나 끔찍한 것인지 모르겠는데요. 이를 통해서 저희가 다크웹에 대해서 조금 더 알고 분석하는 노력이 좀 필요할 것 같습니다.
아무래도 최근에는 사실 ‘로그4j’ 취약점, 그게 큰 이슈가 됐고 많은 기업들이 피해를 볼 수 있는 우려가 있다고 이제 얘기들을 하거든요. 아마 사이버 범죄자들이 이 취약점을 노리고 많은 또 활동을 하는 것으로 알고 있는데요, 혹시 다크웹을 중심으로 한 사이버 범죄자들이 어떤 활동들을 펼치고 있는지 한번 소개를 좀 해주실 수 있으실까요?
■ 곽경주 이사 우선 최근 로그4j 이슈 때문에 모든 보안업계와 정부기관 등에서 굉장히 고생을 하고 계신데, 저희도 이 취약점이 올라오자마자...좀 피곤합니다(웃음) 피곤하게 계속 대응을 하고 있는데, 일단 로그4j 같은 경우에는 우선 중국 쪽에서 시작을 했던 것 같아요. 중국 쪽 커뮤니티에서 먼저 활발하게 그들끼리 얘기를 주고 받았었고 그리고 나서 이제 앞에서도 말씀드렸던 레이드 포럼 이라든가 그런 포럼들에서 올라오고 있는데, 그 중에 가장 인상 깊었던 부분이 최근에 중국 쪽 공격을 해서 유출한 데이터를 계속 올리고 있는 유저가 한 명 있습니다. 그 유저가 나름 그 내부에서는 좀 유명한 사람이죠. 그 사람이 ‘니네 이거 이제 알았냐, 우리는 이미 이 취약점으로 다양한 중국쪽 기업들을 공격 하고 있었다’라는 그런 댓글을 달아놨었고, 그 외에는 이제 일반 CTI 회사들이나 보안 회사들에서 공유하는 기술적인 부분들을 그게 해커들 사이에서도 서로 공유를 합니다. 이거 가지고 어떤 식으로 공격을 하면 될지 서로 의견도 주고 받고 연구도 하고 분석도 하고 그런 것들을 계속해서 하고 있어요.
로그4j가 피곤한 이유 중에 하나가 이게 취약점이 하나 이번에 큰 게 공개가 되면서 후속타로 계속 취약점들이 공개가 되고 있고 패치가 계속 나오고 있어요. 기업 내부 담당자들은 그것을 또 계속 해줘야 하거든요. 그런 부분 때문에 조금 대응이 힘든 부분이 있습니다.
□ 권준 국장 계속 정말 취약점들이 추가적으로 나와서 아마 기업 보안담당자들도 되게 힘드실 거고, 또 곽 이사님처럼 보안 업계에 계신 분들도 많이 힘드실 텐데, 조금 더 힘내 주셨으면 좋겠고요.
■ 곽경주 이사 네 네.
□ 권준 국장 다크웹 내에서도 2021년 한 해동안 다양한 일들이 좀 벌어졌을 것 같은데요. 그 중에서 이제 곽 이사님께서 조금 더 기억에 남는 어떤 이슈나 사건 몇 가지만 좀 뽑아주시면 우리 독자들에게 도움이 될 것 같습니다.
■ 곽경주 이사 우선 올해 하반기 즈음부터 한국 관련된 유출 데이터가 굉장히 많이 올라오고 있습니다. 이게 특정 한두 명의 유저가 계속 올리고 있는데, 이들의 공격 행위를 분석을 해보면 굉장히 고난이도의 공격 수법을 사용하지는 않습니다. 이 영상을 또 보게 되면 그 공격자들이... 약간 좀 기분 나빠서 더 열심히 할 수도 있긴 하겠지만 그런 부분이 우려되지만
저희가 봤을 때는 이게 ‘SQL 인젝션’이라는 것이 있어요. 공격 수법 중에
□ 권준 국장 네, 가장 고전적인.
■ 곽경주 이사 네, 맞습니다. 데이터베이스 쪽 데이터를 가져가는 그런 공격 기법 중에 하나로 되게 기본적인 공격인데, 그들이 그것을 스스로 뭔가 연구를 하고 분석을 해서 해당 기업의 취약점을 열심히 찾아낸다기보다 도구가 있습니다, 그냥. 네, 만들어져 있는 도구가 있는데 광범위하게 그 도구를 돌리는 것 같아요. ‘돌려서 하나만 걸려라’하는 느낌으로 공격을 계속 하고 있는데, 보통 이제 피해를 받은 웹사이트들을 보게 되면 기업에서 보안에 공을 들이고 있는 그런 메인 웹사이트보다는 변두리에 있는 웹사이트에 대한 타격을 많이 합니다. 그럼에도 불구하고 이런 다크웹이라는 공간에 특정 회사 이름이 거론되면서 ‘여기를 해킹했다’ ‘여기 데이터를 판매하겠다’라는 얘기가 올라오면 해당 브랜드의 평판에 좀 흠이 가겠죠?
□ 권준 국장 맞아요, 네.
■ 곽경주 이사 네, 그런 것을 공격자들은 노리면서 계속 (공격)하고 있는데요. 그런 활동들이 올해 하반기에 굉장히 두드러졌었고 이 부분도 로그4j만큼 저희가 좀 피곤했었던 이슈들 중에 하나고요. 그리고 올해 또 두드러지는 게 랜섬웨어 그룹들이 굉장히 우후죽순 생겨나고 있습니다. 결국 사이버범죄도 비지니스 다보니까 ‘이 부분(랜섬웨어)이 돈이 된다’라고 알려지면서 언더그라운드 포럼에서 랜섬웨어 그룹을 계속 만들어 나가고 있어요. 홍보하는 글들도 계속 올라오고 리쿠르팅하는 글들도 올라옵니다. 그러면서 없어지는 그룹도 있어요. 미국이나 이런 수사기관 유로폴, 인터폴에서 테이크다운 시키는 그런 그룹들도 있고요. 스스로 그냥 돈이 안 되다 보니까 사라지는 그런 그룹들도 있는데 사실 사라지는 그룹들보다 다시 생겨나는 그룹들이 훨씬 많습니다.
그리고 또 올해 주목할만한 부분이 e커머스 업종이랑 의료 분야 대상 공격이 많았다는 점인데요. 이게 많았다는 기준은 다크웹에 유출된 데이터가 올라오는 것을 기준으로 한 건데 e커머스나 의료 분야, 어디 성형외과라든가 아니면 온라인 기반의 e커머스 회사들의 개인정보 같은 것이 올라온다든가 그런 이슈들이 많았는데. e커머스 분야에 왜 공격이 집중되고 유출 데이터가 많이 올라왔을까를 생각해보면 빠르게 성장해 나가고 있는 스타트업들이 e커머스 쪽 계열에 지금 많이 있는 상태인데...
□ 권준 국장 네.
■ 곽경주 이사 그 안에 e커머스를 보면 개인정보가 많죠. 그리고 급성장을 하다보니까 개발 쪽에는 치중을 많이 했지만, 보안 쪽에는 그렇게 신경을 생각보다 많이 쓰지 못한 그런 회사들이 있다 보니까 그래서 그런 케이스들이 많았지 않았을까 라는 생각이 들고요. 의료 분야는 마찬가지로 메인 잡(job)이 IT나 이런 것이 아니다 보니까 내부에 있는 보안팀이 잘 꾸려지지 않다거나 그런 케이스가 많아서 그래서 이런 것이 많지 않았을까라는 생각이 들고요.
그리고 마지막으로 한 가지 더 말씀드리자면 올해의 계정 유출된 개수가 한국만 얘기하는 것은 아니고요, 국내외로 3,800만개 정도의 계정들이 유출이 된 상태고 계정이 유출되는 유형에는 저희는 크게 두 가지 정도로 보는데 ‘스틸러’라고 부르는 정보 탈취용 악성코드 의해서 유출된 그런 케이스가 있고. 특정 사이트가 해킹되면서 그 안에 있던 데이터베이스가 유출되면서 노출된 그런 개인정보들이 있는데 이런 것을 다 포함했을 때, 한 3,800만개 정도 나오고 있습니다. 굉장히 많은 큰 수치죠.
□ 권준 국장 알겠습니다. 한해 잘 정리를 해주셨는데 조금 더 요약을 해보자면 아무래도 이제 다크웹을 기반으로 활동하는 랜섬웨어 범죄 조직들이 약간 좀 대형화되고 조직화되고 있다.
■ 곽경주 이사 네.
권준 국장 그리고 결국은 다크웹을 기반으로 해서 국내 기업도 많은 피해를 입었지만, 기업들이 해킹당한 사건들이 노출되고 그곳 정보들이 노출되면서 기업들이 입는 타격이 좀 커졌다는 점. 그 다음에 아까 잠깐 e커머스하고 의료분야 말씀을 해주셨는데 결국은 ‘사이버 범죄자들도 이슈를 따라간다’ 그리고 코로나19가 그런 시장들을 키웠고, ‘그런 시장을 노려서 사이버 범죄자들이 움직인다’라는 부분들이 다크웹의 생리를 잘 보여줄 수 있는 것 같고요. 앞으로도 저희 매월 <다크웹 인사이드>는 진행하게 될텐데, 정말 다크웹에 대해서 독자들이 잘 알고 또 대비하고 또 모니터링 할 수 있도록 앞으로도 많은 조언 좀 부탁드리겠습니다.
■ 곽경주 이사 네, 알겠습니다.
□ 권준 국장 오늘 너무나 감사드립니다.
■ 곽경주 이사 네 감사합니다.
[권 준 기자(editor@boannews.com)]
곽경주 S2W 이사와 함께 살펴보는 다크웹의 모든 것
2021년 월패드 해킹과 랜섬웨어 조직 등으로 다크웹 시장 활성화
e커머스와 의료 분야 대상 공격 늘어, 코로나19 이슈 선점한 해커들
■ 방송 : 보안뉴스TV(bnTV) <곽경주의 다크웹 인사이드>
■ 진행 : 권 준 보안뉴스 편집국장
■ 출연 : 곽경주 S2W 이사
다크웹(Dark Web)이라는 또 다른 세상을 아시나요? 우리가 자유롭게 검색하고 찾아갈 수 있는 인터넷보다 더 큰 세상이 존재하는 곳인데요, 이곳 다크웹에서는 해킹을 일삼는 사이버범죄자들도 활발하게 움직이고 있습니다. 저희 [bnTV] ‘곽경주의 다크웹 인사이드’에서는 다크웹에서 활동하는 사이버범죄자들의 활동을 모니터링하고 분석하는 보안전문가 S2W의 곽경주이사와 함께 한 달 동안 발생한 다크웹 주요 이슈를 다뤄보고 보안위협에 대비할 수 있는 방안을 살펴보겠습니다.
□ 권준 국장 안녕하세요, 보안뉴스의 권 준 편집국장입니다. 이번에는 저희 보안뉴스에서 야심차게 준비한 새로운 영상 콘텐츠를 소개시켜 드리려고 하는데요, 이름하여 ‘곽경주의 다크웹 인사이드’입니다. 이 코너는 한달 동안, 사이버 범죄자들이 주로 활동하는 다크웹에서의 주요 이슈와 범죄자들의 활동 현황, 그리고 각 국가 및 기업 피해 실태 등을 분석해보는 코너입니다. 저희 코너를 함께해주실 곽경주 이사님을 소개시켜 드리고 싶은데요, 곽경주 이사님은 다크웹에 있는 사이버 범죄자들을 집중적으로 추적하고 모니터링하는 전문가입니다. 반갑습니다.
■ 곽경주 이사 아, 네 안녕하세요.
□ 권준 국장 간단하게 본인 소개 좀 부탁드리겠습니다.
■ 곽경주 이사 안녕하세요, 저는 곽경주입니다. 저는 금융결제원, 그리고 금융보안원 등에서 침해사고 대응 관련된 업무를 해왔었고요. 현재는 S2W에서 CTI·위협 분석 관련된 업무들을 전체적으로 총괄하고 있는 그런 역할을 하고 있습니다. 그 외에도 국내외에서는 발표를 할 때 주로 국가급 대응 공격 그룹들에 대한 분석 내용이라든가 금융권 관련된 사이버 범죄자들에 대한 내용들로 발표를 해왔습니다.
□ 권준 국장 반갑습니다.
■ 곽경주 이사 네.
□ 권준 국장 앞으로 잘 부탁드리고요. 일단 저희 이제 코너명이 다크웹 인사이드거든요. 그래서 어둠의 인터넷이라고 불리는 다크웹에 대해서 조금 더 알아볼 필요가 있을 것 같습니다. 다크웹과 딥웹 그리고 거기서 활동하는 사이버 범죄자들이 어떤 사람들인지 간단하게 먼저 좀 소개를 시켜주신다면요?
■ 곽경주 이사 네, 우선 저희가 사용하고 있는 인터넷 이런 것들은 여러 개의 계층적인 표현을 가지고 있는데요, 우선 ‘표면웹’이라는 것이 있고요. 그건 보통 이제 네이버나 다음 같은 포털사이트를 의미하는 거고 그 아래 쪽에 이제 ‘딥웹’ 같은 로그인해야 들어갈 수 있는 그런 곳들이 있고, 그리고 오늘의 주제인 ‘다크웹’이라는 곳이 있는데, 다크웹은 여러분들이 주로 사용하시는 인터넷 익스플로러나 크롬 등과 같은 브라우저로는 들어가실 수 없는 곳이고. 토르(Tor)라고 하는 특별한 브라우저가 있습니다. 그것을 통해서만 들어갈 수 있는 곳이고요.
애초에 다크웹은 범죄로 이용하라고 만든 네트워크는 아닙니다. 근데 블록체인·암호화폐 같은 것들이 나타나고 그 내부에 이제 블랙마켓들이 나타나면서 그 이후에 범죄자들이 좀 많이 활동하고 있는 그런 공간이라고 보시면 되겠습니다.
□ 권준 국장 다크웹 같은 경우는 요즘에 언론에도 많이 회자가 되는 거 같아요. 모르고 있었지만, 이제는 사이버 범죄자들이 거기서(다크웹) 커뮤니티도 형성을 하고 여러 가지 범죄 공개도 하고 그 다음에 이런 랜섬웨어 공개도 하면서 피해 기업을 대상으로 이제 협박하는 어떤 통로로도 활용을 하고 있는데요. 그러면 지난 한 달간 다크웹 내에서 사이버 범죄 조직이 어떤 활동을 했는지 이슈가 되는 부분하고 그 다음에 그런 범죄자들한테 피해를 입은 국가나 기업에 대해서 한번 통계를 내주신다면요?
■ 곽경주 이사 우선 딥웹을 포함한 다크웹 내에서 활동하고 있는 수많은 범죄자 집단들 중에, 대표적으로 이제 ‘랜섬웨어 그룹’이 있습니다. 그리고 ‘봇넷’이라고 해서 대규모의 악성코드를 유포한다든가 그런 네트워크를 운영하는 운영자들이 있고, 각종 유출 데이터를 판매하고 있는 그런 판매자들이 있습니다. 이런 판매자들은 뭔가 큰 조직을 가지고 있다기보다는 개인적으로 활동하든가, 아니면 소규모의 그룹으로 활동하고 있는 판매자들로 보시면 되는데요.
지난 한 달간 가장 이슈가 컸던 것들은 아파트 내에 설치되어 있는 그런 월패드·CCTV 그런 IoT 장비에 대한 이슈가 컸었고요. 해당 이슈 같은 경우에는 최초에 10월 13일에 홍콩 쪽에 있는 커뮤니티 사이트에 게시글이 업로드 됐었어요. 그리고 나서 10월 15일에 ‘레이드 포럼’이라고 하는 다크웹·딥웹 내에서 가장 유명한 게시판이 있는데요, 여기에 게시가 되게 됩니다. 여기에 CCTV 영상 캡처본 이라든가 이런 것들이 같이 올라오게 되고 그러면서 이제 우리 언론에서 이 부분에 대해서 집중적으로 조명을 하기 시작했고 범국가적인 그런 대응을 하고 있는 상황인데요.
그리고 아까 말씀드렸다시피, 다크웹 내에서는 랜섬웨어의 활동이 가장 두드러지고 다크웹 내의 ‘범죄활동을 주도하고 있다’라고 보시면 되는, 그리고 다크웹 내의 ‘트래픽을 가장 많이 일으키고 있다’라고 보시면 되는 부분이 이제 랜섬웨어 쪽인데 다크웹 그룹 같은 경우에는 현재까지 저희가 누적치로 봤을 때는 한 100여 개가 넘습니다. 랜섬웨어 그룹 자체가 살아있는 그룹 자체는 어제(2021년 12월 22일) 기준으로 한 55곳 정도 되고 나타났다가 사라진 곳은 한 28~30군데 정도 되는 거고, 랜섬웨어 자체를 운영한다기보다는 랜섬웨어 관련된 지원을 한다든가 유출된 데이터를 외부에 판매한다든가 그런 역할을 하는 단순 유출 사이트들이 한 13군데 정도 되고요.
그리고 이제 랜섬웨어 피해 국가별로 통계를 내보면, 가장 많은 피해 기업이 있는 곳이 결국 ‘미국’입니다. 미국이 1200군데가 넘는 피해 기업이 있고요. 그 다음으로는 이제 ‘영국’ ‘프랑스’ ‘캐나다’ 그 다음에 ‘독일’ 같은 곳이 있고 우리나라는 그렇게 피해 기업이 많지는 않습니다. 근데 이것은 어디까지나 기준이 다크웹 내에서 활동하고 있는 랜섬웨어 그룹에 의한 피해 기업인 것이고요. 실제로 다크웹 내에서 활동하지 않는 다른 랜섬웨어도 많은데, 거기에 의해서 피해를 입은 기업이나 개인은 이 수치보다는 많습니다.
한국 기준으로는 한 11군데 정도 되고요. 그리고 2021년도 총 피해 기업은 지금 까지는 이제 국가별로 말씀을 드렸는데, 전체적으로는 2,500군데 정도 된다고 보시면 됩니다.
업종별로는 ‘서비스업’ 쪽이 가장 많았었는데, 230군데, ‘제조업’ 쪽이 200군데 정도, 그리고 ‘금융권’이 168군데 등 다양한 업종을 타깃으로 랜섬웨어 그룹들이 공격하는 것을 보실 수 있습니다. 여기서 제가 서비스업이 가장 공격을 많이 받았다라고 했는데, 여기에 뭐 특별한 이유가 있다거나 그런 것까지는 아직 밝혀진 것은 없고요. 다양한 업종을 대상으로 계속 공격을 하고 있는 것으로 보입니다.
그리고 랜섬웨어 그룹 중에서도 가장 활발한 공격 활동을 보이고 있는 곳은 저희 통계 기준상으로는 ‘콘티’입니다. 콘티라는 랜섬웨어 그룹이 있고, ‘락빗’ 이라는 그룹이 있는데요, 이 두 개의 그룹이 전체의 40~50% 정도를 차지하고 있습니다. 굉장히 활발한 활동을 보이고 있고 콘티 같은 경우에는 여러 수사기관이나 이런 쪽에서도 가장 많이 집중을 하고 있는 그룹임에도 불구하고 범죄 활동을 지속적으로 해나가고 있죠. 이 정도로 정리가 가능할 것 같고요.
▲곽경주의 다크웹 인사이드[이미지=보안뉴스]
□ 권준 국장 너무 생생한 통계 감사드리고요. 사실 저희가 모르는 이런 다크웹이라는 세상에서 범죄자들이 이렇게 범죄를 모의하고 그 다음에 피해자들을 협박하고 이런 활동들이 계속 실시간으로 벌어진다는 것이 정말 놀라운 일인 것 같습니다. 특히, 이제 우리 가정의, 우리 집의 사생활이 녹화가 돼서 그런 것들이 다크웹이나 포럼에 실린다는 것 자체가 얼마나 끔찍한 것인지 모르겠는데요. 이를 통해서 저희가 다크웹에 대해서 조금 더 알고 분석하는 노력이 좀 필요할 것 같습니다.
아무래도 최근에는 사실 ‘로그4j’ 취약점, 그게 큰 이슈가 됐고 많은 기업들이 피해를 볼 수 있는 우려가 있다고 이제 얘기들을 하거든요. 아마 사이버 범죄자들이 이 취약점을 노리고 많은 또 활동을 하는 것으로 알고 있는데요, 혹시 다크웹을 중심으로 한 사이버 범죄자들이 어떤 활동들을 펼치고 있는지 한번 소개를 좀 해주실 수 있으실까요?
■ 곽경주 이사 우선 최근 로그4j 이슈 때문에 모든 보안업계와 정부기관 등에서 굉장히 고생을 하고 계신데, 저희도 이 취약점이 올라오자마자...좀 피곤합니다(웃음) 피곤하게 계속 대응을 하고 있는데, 일단 로그4j 같은 경우에는 우선 중국 쪽에서 시작을 했던 것 같아요. 중국 쪽 커뮤니티에서 먼저 활발하게 그들끼리 얘기를 주고 받았었고 그리고 나서 이제 앞에서도 말씀드렸던 레이드 포럼 이라든가 그런 포럼들에서 올라오고 있는데, 그 중에 가장 인상 깊었던 부분이 최근에 중국 쪽 공격을 해서 유출한 데이터를 계속 올리고 있는 유저가 한 명 있습니다. 그 유저가 나름 그 내부에서는 좀 유명한 사람이죠. 그 사람이 ‘니네 이거 이제 알았냐, 우리는 이미 이 취약점으로 다양한 중국쪽 기업들을 공격 하고 있었다’라는 그런 댓글을 달아놨었고, 그 외에는 이제 일반 CTI 회사들이나 보안 회사들에서 공유하는 기술적인 부분들을 그게 해커들 사이에서도 서로 공유를 합니다. 이거 가지고 어떤 식으로 공격을 하면 될지 서로 의견도 주고 받고 연구도 하고 분석도 하고 그런 것들을 계속해서 하고 있어요.
로그4j가 피곤한 이유 중에 하나가 이게 취약점이 하나 이번에 큰 게 공개가 되면서 후속타로 계속 취약점들이 공개가 되고 있고 패치가 계속 나오고 있어요. 기업 내부 담당자들은 그것을 또 계속 해줘야 하거든요. 그런 부분 때문에 조금 대응이 힘든 부분이 있습니다.
□ 권준 국장 계속 정말 취약점들이 추가적으로 나와서 아마 기업 보안담당자들도 되게 힘드실 거고, 또 곽 이사님처럼 보안 업계에 계신 분들도 많이 힘드실 텐데, 조금 더 힘내 주셨으면 좋겠고요.
■ 곽경주 이사 네 네.
□ 권준 국장 다크웹 내에서도 2021년 한 해동안 다양한 일들이 좀 벌어졌을 것 같은데요. 그 중에서 이제 곽 이사님께서 조금 더 기억에 남는 어떤 이슈나 사건 몇 가지만 좀 뽑아주시면 우리 독자들에게 도움이 될 것 같습니다.
■ 곽경주 이사 우선 올해 하반기 즈음부터 한국 관련된 유출 데이터가 굉장히 많이 올라오고 있습니다. 이게 특정 한두 명의 유저가 계속 올리고 있는데, 이들의 공격 행위를 분석을 해보면 굉장히 고난이도의 공격 수법을 사용하지는 않습니다. 이 영상을 또 보게 되면 그 공격자들이... 약간 좀 기분 나빠서 더 열심히 할 수도 있긴 하겠지만 그런 부분이 우려되지만
저희가 봤을 때는 이게 ‘SQL 인젝션’이라는 것이 있어요. 공격 수법 중에
□ 권준 국장 네, 가장 고전적인.
■ 곽경주 이사 네, 맞습니다. 데이터베이스 쪽 데이터를 가져가는 그런 공격 기법 중에 하나로 되게 기본적인 공격인데, 그들이 그것을 스스로 뭔가 연구를 하고 분석을 해서 해당 기업의 취약점을 열심히 찾아낸다기보다 도구가 있습니다, 그냥. 네, 만들어져 있는 도구가 있는데 광범위하게 그 도구를 돌리는 것 같아요. ‘돌려서 하나만 걸려라’하는 느낌으로 공격을 계속 하고 있는데, 보통 이제 피해를 받은 웹사이트들을 보게 되면 기업에서 보안에 공을 들이고 있는 그런 메인 웹사이트보다는 변두리에 있는 웹사이트에 대한 타격을 많이 합니다. 그럼에도 불구하고 이런 다크웹이라는 공간에 특정 회사 이름이 거론되면서 ‘여기를 해킹했다’ ‘여기 데이터를 판매하겠다’라는 얘기가 올라오면 해당 브랜드의 평판에 좀 흠이 가겠죠?
□ 권준 국장 맞아요, 네.
■ 곽경주 이사 네, 그런 것을 공격자들은 노리면서 계속 (공격)하고 있는데요. 그런 활동들이 올해 하반기에 굉장히 두드러졌었고 이 부분도 로그4j만큼 저희가 좀 피곤했었던 이슈들 중에 하나고요. 그리고 올해 또 두드러지는 게 랜섬웨어 그룹들이 굉장히 우후죽순 생겨나고 있습니다. 결국 사이버범죄도 비지니스 다보니까 ‘이 부분(랜섬웨어)이 돈이 된다’라고 알려지면서 언더그라운드 포럼에서 랜섬웨어 그룹을 계속 만들어 나가고 있어요. 홍보하는 글들도 계속 올라오고 리쿠르팅하는 글들도 올라옵니다. 그러면서 없어지는 그룹도 있어요. 미국이나 이런 수사기관 유로폴, 인터폴에서 테이크다운 시키는 그런 그룹들도 있고요. 스스로 그냥 돈이 안 되다 보니까 사라지는 그런 그룹들도 있는데 사실 사라지는 그룹들보다 다시 생겨나는 그룹들이 훨씬 많습니다.
그리고 또 올해 주목할만한 부분이 e커머스 업종이랑 의료 분야 대상 공격이 많았다는 점인데요. 이게 많았다는 기준은 다크웹에 유출된 데이터가 올라오는 것을 기준으로 한 건데 e커머스나 의료 분야, 어디 성형외과라든가 아니면 온라인 기반의 e커머스 회사들의 개인정보 같은 것이 올라온다든가 그런 이슈들이 많았는데. e커머스 분야에 왜 공격이 집중되고 유출 데이터가 많이 올라왔을까를 생각해보면 빠르게 성장해 나가고 있는 스타트업들이 e커머스 쪽 계열에 지금 많이 있는 상태인데...
□ 권준 국장 네.
■ 곽경주 이사 그 안에 e커머스를 보면 개인정보가 많죠. 그리고 급성장을 하다보니까 개발 쪽에는 치중을 많이 했지만, 보안 쪽에는 그렇게 신경을 생각보다 많이 쓰지 못한 그런 회사들이 있다 보니까 그래서 그런 케이스들이 많았지 않았을까 라는 생각이 들고요. 의료 분야는 마찬가지로 메인 잡(job)이 IT나 이런 것이 아니다 보니까 내부에 있는 보안팀이 잘 꾸려지지 않다거나 그런 케이스가 많아서 그래서 이런 것이 많지 않았을까라는 생각이 들고요.
그리고 마지막으로 한 가지 더 말씀드리자면 올해의 계정 유출된 개수가 한국만 얘기하는 것은 아니고요, 국내외로 3,800만개 정도의 계정들이 유출이 된 상태고 계정이 유출되는 유형에는 저희는 크게 두 가지 정도로 보는데 ‘스틸러’라고 부르는 정보 탈취용 악성코드 의해서 유출된 그런 케이스가 있고. 특정 사이트가 해킹되면서 그 안에 있던 데이터베이스가 유출되면서 노출된 그런 개인정보들이 있는데 이런 것을 다 포함했을 때, 한 3,800만개 정도 나오고 있습니다. 굉장히 많은 큰 수치죠.
□ 권준 국장 알겠습니다. 한해 잘 정리를 해주셨는데 조금 더 요약을 해보자면 아무래도 이제 다크웹을 기반으로 활동하는 랜섬웨어 범죄 조직들이 약간 좀 대형화되고 조직화되고 있다.
■ 곽경주 이사 네.
권준 국장 그리고 결국은 다크웹을 기반으로 해서 국내 기업도 많은 피해를 입었지만, 기업들이 해킹당한 사건들이 노출되고 그곳 정보들이 노출되면서 기업들이 입는 타격이 좀 커졌다는 점. 그 다음에 아까 잠깐 e커머스하고 의료분야 말씀을 해주셨는데 결국은 ‘사이버 범죄자들도 이슈를 따라간다’ 그리고 코로나19가 그런 시장들을 키웠고, ‘그런 시장을 노려서 사이버 범죄자들이 움직인다’라는 부분들이 다크웹의 생리를 잘 보여줄 수 있는 것 같고요. 앞으로도 저희 매월 <다크웹 인사이드>는 진행하게 될텐데, 정말 다크웹에 대해서 독자들이 잘 알고 또 대비하고 또 모니터링 할 수 있도록 앞으로도 많은 조언 좀 부탁드리겠습니다.
■ 곽경주 이사 네, 알겠습니다.
□ 권준 국장 오늘 너무나 감사드립니다.
■ 곽경주 이사 네 감사합니다.
[권 준 기자(editor@boannews.com)]
<저작권자: 보안뉴스(www.boannews.com) 무단전재-재배포금지>
.png)
.jpg)
.png)
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.JPG){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
